Skip to content
Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Conformité8 min de lecture

Loi 25 et documents d'identité : règles clés au Québec

Loi 25 et documents d'identité : règles de collecte, durées de conservation, recommandations de la CAI.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Loi 25 et documents d'identité : règles clés au Québec — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Collecter une copie de permis de conduire est un acte banal pour la plupart des compagnies. C'est aussi l'un des traitements les plus risqués au regard de la Loi 25 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé) et de la LPRPDE fédérale. Un document d'identité contient des renseignements personnels sensibles — numéro unique, photo, signature — dont le traitement non conforme expose la compagnie à des sanctions pouvant atteindre 25 millions CAD ou 4 % du chiffre d'affaires mondial en vertu de la Loi 25.

Le cadre juridique : Loi 25, LPRPDE et Code civil du Québec

La Loi 25 du Québec

La Loi 25, pleinement en vigueur depuis septembre 2024, impose des obligations renforcées en matière de protection des renseignements personnels. Les principes applicables aux documents d'identité :

Finalité et nécessité. La collecte d'un document d'identité doit être nécessaire à la finalité poursuivie. La Commission d'accès à l'information (CAI) veille au respect de ce principe.

Minimisation. La compagnie ne doit collecter que les renseignements strictement nécessaires. Ce principe a des conséquences pratiques majeures sur le traitement des documents d'identité.

Conservation limitée. Les documents d'identité ne peuvent pas être conservés indéfiniment. La durée de conservation doit être définie en amont et justifiée par la finalité du traitement.

Consentement. Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques.

La LPRPDE fédérale

La LPRPDE s'applique aux compagnies du secteur privé réglementées au fédéral et aux transactions interprovinciales. Au Québec, la Loi 25 a préséance pour les compagnies exerçant principalement dans la province, mais la LPRPDE reste pertinente pour les activités interprovinciales.

Les recommandations de la CAI : règles pratiques

Quand peut-on collecter un document d'identité ?

Niveau Description Exemples Document requis
1 - Déclaratif Simple collecte du nom Inscription à une infolettre Aucun document d'identité
2 - Vérification simple Vérification de l'identité Location, abonnement Présentation du document (sans copie) ou copie partielle
3 - Vérification renforcée Obligation légale de vérification Ouverture de compte bancaire (KYC), acte notarié Copie intégrale du document d'identité

Les durées de conservation

Contexte Durée de conservation Fondement
KYC bancaire (LRPCFAT) 5 ans après la fin de la relation d'affaires LRPCFAT
Contrat de travail 3 ans après la fin du contrat Code civil du Québec, prescription
Location immobilière (dossier retenu) Durée du bail + 3 ans Code civil du Québec
Location immobilière (dossier non retenu) Destruction immédiate Loi 25, principe de nécessité
Acte notarié Conservation permanente par le notaire Loi sur le notariat

Le principe de minimisation appliqué aux documents d'identité

La minimisation des données est le principe le plus fréquemment méconnu dans le traitement des documents d'identité. La CAI formule des recommandations précises.

Masquage des données non nécessaires. Lorsqu'une copie du document est nécessaire, les données non pertinentes pour la finalité poursuivie doivent être masquées. Par exemple, pour vérifier l'identité d'un locataire, le numéro de permis de conduire n'est pas nécessaire et devrait être occulté.

Données à masquer selon la finalité :

Finalité Données nécessaires Données à masquer
Location immobilière Nom, prénom, date de naissance, validité Photo, numéro de document, signature
Ouverture de compte bancaire (KYC) Toutes les données du document Aucune (obligation légale LRPCFAT)
Contrat de travail Nom, prénom, NAS (pour la paie) Photo (sauf badge), signature
Vérification d'âge Date de naissance Tout le reste

Loi 25 et vérification documentaire automatisée

L'utilisation de solutions de validation documentaire automatisée soulève des questions spécifiques au regard de la Loi 25, notamment en matière de décision automatisée et de sous-traitance.

La Loi 25 encadre les décisions entièrement automatisées produisant des effets significatifs. Un refus automatique de dossier fondé sur la non-conformité d'un document d'identité entre potentiellement dans ce champ. La compagnie doit informer la personne qu'une décision automatisée est susceptible d'être prise et garantir le droit à une intervention humaine.

Lorsqu'une compagnie utilise un prestataire externe pour la vérification documentaire, elle doit formaliser la relation par un contrat conforme aux exigences de la Loi 25. Ce contrat doit préciser la nature du traitement, les mesures de sécurité, les conditions de sous-traitance ultérieure, les modalités de suppression des données et les droits d'audit.

Mesures techniques de protection

La Loi 25 exige des mesures de sécurité proportionnées au degré de sensibilité des renseignements personnels.

  • Chiffrement des données au repos et en transit (AES-256, TLS 1.2 ou supérieur)
  • Contrôle d'accès strict avec traçabilité des accès
  • Hébergement sécurisé au Canada
  • Suppression sécurisée à l'expiration de la durée de conservation

Évaluation des facteurs relatifs à la vie privée (EFVP)

La Loi 25 impose une EFVP pour tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels. Le traitement à grande échelle de documents d'identité entre dans cette catégorie. L'EFVP doit être réalisée avant le déploiement du projet et doit couvrir : la nature des renseignements collectés, les risques pour la vie privée, les mesures d'atténuation prévues et la proportionnalité du traitement.

Pour les compagnies qui traitent des volumes importants de documents d'identité (institutions financières, gestionnaires immobiliers, agences de placement), l'EFVP doit être mise à jour lorsque le processus de traitement évolue — par exemple lors de l'adoption d'une solution de vérification automatisée ou d'un changement de sous-traitant.

Incidents de confidentialité : obligations de notification

La Loi 25 impose une obligation de notification en cas d'incident de confidentialité présentant un risque de préjudice sérieux. Les incidents impliquant des documents d'identité (accès non autorisé, perte, communication non consentie) sont présumés présenter un risque sérieux en raison de la sensibilité des données.

La notification doit être faite auprès de la CAI et auprès des personnes touchées, dans les meilleurs délais. Un registre des incidents doit être tenu par l'organisation. Le défaut de notification constitue une infraction passible de sanctions administratives.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Explorer nos guides

Les droits des personnes concernées

Droit Délai de réponse Applicable aux documents d'identité ?
Accès 30 jours Oui
Rectification 30 jours Oui
Effacement / désindexation 30 jours Partiellement (obligation légale de conservation)
Portabilité 30 jours Oui (Loi 25, art. 27)

Sanctions de la CAI

La CAI peut imposer des sanctions administratives pécuniaires pouvant atteindre 10 millions CAD ou 2 % du chiffre d'affaires mondial pour une compagnie. Les infractions pénales peuvent entraîner des amendes allant jusqu'à 25 millions CAD ou 4 % du chiffre d'affaires mondial (Loi 25, art. 90.1 et suivants).

Aller plus loin

Pour approfondir ce sujet, consultez notre guide complet sur la vérification documentaire.

FAQ

Une compagnie peut-elle exiger une copie de permis de conduire pour toute vérification d'identité ?

Non. La Loi 25 impose le principe de nécessité : la copie intégrale d'un document d'identité n'est justifiée que pour les vérifications renforcées imposées par la loi (ouverture de compte bancaire, acte notarié). Pour une simple vérification, la présentation du document sans copie est suffisante.

Combien de temps peut-on conserver les documents d'identité des candidats locataires non retenus ?

Les documents d'identité des candidats locataires dont le dossier n'a pas été retenu doivent être détruits immédiatement. La conservation au-delà constitue une infraction à la Loi 25.

Quelles sont les obligations d'une compagnie qui utilise un prestataire pour la vérification KYC ?

La compagnie doit conclure un contrat écrit avec le sous-traitant, conformément à la Loi 25, précisant les mesures de sécurité, les modalités de suppression des données et les droits d'audit. Le prestataire doit héberger les données au Canada. La compagnie demeure responsable du traitement même lorsqu'elle fait appel à un sous-traitant — cette responsabilité ne peut être transférée contractuellement.

Que faire en cas de violation de données impliquant des documents d'identité ?

La Loi 25 impose une notification à la CAI et aux personnes touchées dans les meilleurs délais lorsqu'un incident de confidentialité présente un risque de préjudice sérieux. Les incidents impliquant des documents d'identité sont présumés présenter un risque sérieux. La compagnie doit également tenir un registre des incidents. L'omission de notification constitue une infraction passible de sanctions administratives pouvant atteindre 10 millions CAD.

Nos données de plus de 180 000 documents traités mensuellement confirment une précision OCR de 98,7 % et une réduction des coûts de 67 % par rapport à la vérification manuelle.

CheckFile a conçu sa plateforme de validation documentaire en conformité native avec la Loi 25 et la LPRPDE. Les documents sont traités et hébergés au Canada, chiffrés de bout en bout, et supprimés automatiquement à l'expiration de la durée de conservation. La plateforme intègre nativement le masquage des données non nécessaires, permettant aux compagnies de respecter le principe de minimisation sans effort manuel supplémentaire. Les rapports de vérification sont conservés uniquement pendant la durée nécessaire à la finalité définie. Découvrez nos tarifs.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Consultez un professionnel qualifié pour toute question relative à vos obligations en matière de protection des renseignements personnels.

Restez informé

Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.

Approfondir le sujet

Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.

Articles associés

Conformité11 min

Typologies blanchiment argent : schémas et red flags documentaires au Canada

Principales typologies de blanchiment d'argent au Canada et au Québec, schémas courants et signaux d'alerte documentaires : immobilier, TBML, crypto. Guide conformité LRPCFAT et CANAFE.

Lire
Conformité12 min

AML Red Flags : indicateurs d'activité suspecte pour les équipes conformité au Québec

Guide complet des AML red flags au Canada et au Québec : indicateurs transactionnels, client, géographiques et sectoriels. Cadre CANAFE, LRPCFAT et AMF Québec pour les équipes conformité.

Lire
Conformité10 min

Conformité SOC 2 pour SaaS au Canada : sécurité documentaire, contrôles et audit

Guide complet de conformité SOC 2 pour les entreprises SaaS canadiennes : CANAFE, AMF Québec, Loi 25, LRPCFAT, LPRPDE et préparation à l'audit Tipo II. Terminologie québécoise et cadre réglementaire canadien.

Lire